les pirates Ils s'en sont pris aux réseaux sociaux fédérés comme Mastodon pour mener des attaques de spam continues organisées sur Discord et réalisées à l'aide de leurs applications. Mais Discord n'a pas encore supprimé les serveurs fédérés à partir desquels les attaques ont été facilitées, et les dirigeants de la communauté Mastodon n'ont pu contacter personne au sein de l'entreprise.
"Les attaques ont été coordonnées via Discord et le logiciel a été distribué via eux", a déclaré Emelia Smith, une ingénieure logicielle qui travaille régulièrement sur les questions de confiance et de sécurité chez fediverse, un réseau de plateformes sociales décentralisées construites sur le protocole ActivityPub. "Ils utilisaient des robots directement intégrés à Discord, de sorte qu'un utilisateur n'avait même pas besoin de configurer de serveurs ou quoi que ce soit du genre, car il pouvait simplement exécuter ce robot directement depuis Discord pour mener l'attaque."
Smith a tenté de contacter Discord via les canaux officiels le 17 février, mais n'a reçu que des réponses sous forme de formulaire. Il a commenté que même si Discord dispose de mécanismes pour signaler des utilisateurs ou des messages individuels, il lui manque un moyen clair de signaler des serveurs entiers.
"Nous avons vu cela coûter à Mastodon, Misskey et d'autres administrateurs de serveurs des centaines ou des milliers de dollars en coûts d'infrastructure et en déni de service général", a écrit Smith à Discord Trust & Safety dans un e-mail. "Le seul lien commun semble être ce serveur."
Dans un communiqué, un porte-parole de Discord a déclaré : « Les conditions d'utilisation de Discord interdisent spécifiquement les abus de la plateforme, qui font référence aux activités qui perturbent ou altèrent l'expérience des utilisateurs de Discord, y compris le spam ou l'envoi de messages. » ou les interactions massives non sollicitées. Bien que Discord affirme surveiller la situation, le serveur responsable des attaques de spam reste opérationnel et en ligne.
Eugen Rochko, fondateur et PDG de Mastodon transmis dans une publication que ces attaques sont plus difficiles à modérer que les précédentes, car elles ciblent délibérément des serveurs plus petits, qui disposent souvent de moins d'outils de modération. Certains de ces serveurs proposent une inscription ouverte, vous permettant de créer rapidement de nouveaux comptes et de publier du spam. Et comme le souligne Smith, ces attaques massives de spam peuvent augmenter les coûts des serveurs, laissant les administrateurs avec des factures inattendues.
Selon tu les informes de Mastodon, cette attaque entièrement automatisée a été provoquée par un conflit entre adolescents sur deux serveurs Discord japonais différents.
"C'est ce genre de comportement social étrange, où ces enfants se comportent essentiellement comme des tyrans dans les cours d'école", a déclaré Smith. Il estime qu'ils ont mené cette attaque simplement pour montrer qu'ils le pouvaient, et non parce qu'ils avaient de la mauvaise volonté à l'égard de ces réseaux sociaux.
"Ils ont des capacités technologiques bien supérieures à leurs capacités émotionnelles ou psychologiques", a-t-il déclaré.
Kevin Beaumont, un expert en cybersécurité, a posté sur Mastodon que cet incident rappelle une attaque similaire, bien que beaucoup plus importante, de 2016, au cours de laquelle trois étudiants ont créé un botnet pour gagner de l'argent avec Minecraft. Mais ce qu'ils ont construit était si puissant qui a réussi à supprimer de larges pans d’Internet, y compris des sites comme Reddit et Spotify.
« J'ai dû faire une émission de radio sur NPR (National Public Radio) à ce sujet et l'animateur n'arrêtait pas de me demander si c'était Poutine, et j'ai répondu non, ce sont des adolescents. Adolescents avancés persistants », publié Beaumont.
En tant que réseau social décentralisé, l'équipe Mastodon ne peut pas intervenir sur des problèmes de modération sur des serveurs dont elle ne possède pas, ce qui constitue une vulnérabilité pour fediverso. Sur les serveurs activement entretenus et modérés, Mastodon propose des outils pour empêcher l'enregistrement automatisé des comptes, tels que CAPTCHA.
Bien que le modèle open source à but non lucratif de Mastodon donne aux utilisateurs une plus grande propriété sur leurs expériences sur les réseaux sociaux, il limite également la capacité de l'entreprise à embaucher davantage de développeurs. La majeure partie du réseau social est gérée par des bénévoles, comme Smith elle-même.
"J'estime que l'ensemble du fediverso est développé par, peut-être, au mieux, 100 ingénieurs", a-t-il déclaré. "Tous sont sous-payés ou impayés, qui tentent de créer des logiciels tout en prenant en charge une base d'utilisateurs actifs mensuels comprise entre 1,1 million et 7,4 millions."
